OpenClaw przed wersją 2026.4.15 zawiera podatność authentication bypass w mechanizmie walidacji webhooków i akcji kart Feishu, pozwalającą nieuwierzytelnionemu atakującemu na dotarcie do modułu dispatchu poleceń. Podatność jest krytyczna, ponieważ umożliwia wykonanie dowolnych poleceń bez żadnego uwierzytelnienia.
▸ Pokaż oryginał (EN)
OpenClaw before 2026.4.15 contains an authentication bypass vulnerability in Feishu webhook and card-action validation that allows unauthenticated requests to reach command dispatch. Missing encryptKey configuration and blank callback tokens fail open instead of rejecting requests, enabling attackers to bypass signature verification and replay protection to execute arbitrary commands.
Luka wynika z nieprawidłowej obsługi brakującej konfiguracji klucza szyfrowania (encryptKey) oraz pustych tokenów callback — zamiast odrzucać takie żądania, system przepuszcza je dalej (fail open). Atakujący może w ten sposób ominąć weryfikację podpisu (signature verification) oraz mechanizm ochrony przed powtarzaniem żądań (replay protection). W efekcie nieuwierzytelnione żądania HTTP trafiają bezpośrednio do modułu dispatchu poleceń, gdzie mogą być wykonywane dowolne instrukcje.
Atakujący bez żadnych uprawnień może zdalnie wykonywać dowolne polecenia na serwerze (RCE), co prowadzi do pełnego przejęcia kontroli nad instancją OpenClaw oraz potencjalnej utraty poufności, integralności i dostępności danych.
Należy zaktualizować OpenClaw do wersji 2026.4.15 lub nowszej, w której poprawka została wprowadzona (commit c8003f1b). Dodatkowo należy upewnić się, że konfiguracja encryptKey oraz tokeny callback są prawidłowo skonfigurowane i niepuste, aby uniknąć trybu fail open.
OpenClaw w wersjach przed 2026.4.15
Poprawka dostępna w repozytorium GitHub pod commitem c8003f1b33ed2924be5f62131bd28742c5a41aae. Podatność zgłoszona również w GitHub Security Advisory GHSA-xh72-v6v9-mwhc.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XOpenclaw
APPOpenclaw< 2026.4.15
Powiązane podatności
OpenClaw: ominięcie uwierzytelniania przez nieodświeżane tokeny bearer po rotacji SecretRef
OpenClaw: Authentication Bypass w trasie pomocniczej sandbox noVNC
OpenClaw: privilege escalation przez pominięcie zdarzeń async exec w heartbeat
OpenClaw: ekspozycja Chrome DevTools Protocol poza sandbox
OpenClaw: nieweryfikowane metadane hooków eskalowane do kontekstu systemowego